Louis 於 2024年01月09日 最近一次更新

RDP的安全問題

隨著RDP(遠端桌面通訊協定)的普及,導致越來越多的漏洞暴露除了。其中最著名的漏洞之一可能是中間人攻擊,可以攔截使用者端和伺服器之間的連線,使通訊中斷。

windows-remote-desktop-photo

此外,其他漏洞例如按鍵記錄攻擊(網路駭客建立的惡意軟體,可追踪使用者在存取伺服器時輸入的所有按鍵)和EternalBlue攻擊(網路駭客遠端執行任意代碼,從而獲得對網路的存取權限),這些漏洞也對遠端桌面安全性帶來了巨大威脅。

 

3種不同的RDP安全層

為了保護RDP連線,有三種用於RDP通訊的安全層:Negotiate(協商)、RDP和SSL。接下來,我們將逐一介紹它們。

Negotiate(協商)

Negotiate方法強制使用者端支援的最安全方法。遠端桌面工作階段預設使用Negotiate技術。使用Negotiate方法需要Transport Layer Security(TLS)版本1.0。如果提供了TLS,則使用Negotiate技術來驗證遠端桌面工作階段主機伺服器。如果TLS不可用,則使用RDP(下文將進一步討論)來保護通訊,但不會對RD工作階段主機伺服器進行身份驗證。

RDP

RDP方法使用本地的RDP加密來加密使用者端和遠端桌面工作階段主機伺服器之間的通訊。如上所述,如果選擇此方法,遠端桌面工作階段主機伺服器將無法進行身份驗證。因此,不建議使用本地的RDP加密。

SSL(安全通訊協定)

SSL方法驗證RDSH伺服器的身份並使用TLS 1.0協議加密使用者端和伺服器之間的所有連線。如果不支援TLS,連線將失敗。建議使用此安全層進行RDP連線。

 

如何為RDP連線配置特定的安全層

在這一部分,我們將介紹如何為RDP連線配置特定的安全層。請按照以下步驟作業:

步驟1、按下Win+R,然後輸入“gpedit.msc”並按下確定,打開本機群組原則編輯器。

步驟2、前往以下位置:電腦設定 > 系統管理範本 > Windows元件 > 遠端桌面服務 > 遠端桌面工作階段主機 > 安全性 > 需要對遠端(RDP)連線使用特定的安全層

requires-a-specific-security-layer-for-remote-connections

步驟3、找到並點擊“需要對遠端(RDP)連線使用特定的安全層”,然後將其狀態改為“已啟用”。從下拉列表中選擇安全層(Negotiate、RDP、SSL)。

enable-requires-a-specific-security-layer-for-remote-connections

 

保護RDP連線的方法

以下這些方法可以有效降低RDP連線過程中的風險,並進一步保護RDP連線:

  • 使用複雜密碼。使用強大且複雜的密碼可以使暴力破解RDP攻擊變得更加困難。
  • 使用防火牆限制存取。可以編寫防火牆規則,限制遠端桌面存取,僅允許特定的IP位址或IP位址範圍連線到特定裝置。
  • 要求多因素身份驗證(MFA)。MFA是防止暴力破解和按鍵記錄攻擊的有效方法。使用MFA可以建立分層安全,使網路駭客更難獲取對RDS基礎架構的存取權限。
  • 在作業系統上啟用自動更新。將使用者端和RDSH伺服器的作業系統更新到最新版本可以消除已知的RDP漏洞。

 

安全保護的遠端桌面軟體:AnyViewer

實現安全的遠端連線的另一種方法是使用免費且安全的第三方遠端桌面軟體AnyViewer。該軟體由一個強大的技術團隊開發,並通過橢圓曲線加密(ECC)保護您的個人資訊以及相關資料。

AnyViewer為您提供了兩種方法來實現安全的遠端連線。一種方式是發送控制請求,另一種方式是輸入安全碼實現無人值守的遠端存取。

免費下載 Win 11/10/8.1/8/7/伺服器
安全下載

第1部分:一鍵存取無人值守的遠端電腦

步驟1、在兩台電腦上安裝並啟動AnyViewer。進入“登入”頁面,然後點擊“註冊”(如果您已在其官方網站上註冊,可以直接登入)。

log

步驟2、成功登入後,您的裝置會被分配給相應的帳戶。

anyviewer-derive-number

步驟3、在兩台裝置上使用相同的AnyViewer帳戶登入,然後點擊“一鍵控制”即可存取無人值守的遠端電腦。如果有檔案傳輸需求,可以在遠端工作階段中傳輸檔案,或者不建立遠端連線直接傳輸檔案。

devices-operations

【提示】將AnyViewer免費帳戶升級為專業或企業版。如果您選擇升級,則可以立即享受以下功能:
➢ 更多登入裝置。免費帳戶只能登入3個裝置,而專業版/企業版可以登入10個/100個裝置。
➢ 更多連線通道。企業版支援10個通道。
➢ 更多工作階段。專業版或企業版可以同時建立5個/10個工作階段。
➢ 隱私模式連線。通過禁用遠端電腦螢幕、鍵盤與滑鼠,可以更好地保護您的隱私。
➢ 高速檔案傳輸。以最高10 MB/s的速度一次傳輸無限量的檔案。

 

第2部分:AnyViewer的兩種連線方法

為了更好地保護您的隱私,您還可以在不登入AnyViewer的情況下通過AnyViewer進行遠端控制。但我們應該提醒您,如果不登入AnyViewer,檔案傳輸和螢幕分享等功能將無法使用。

連線方法1、發送控制請求

步驟1、在本機電腦上,輸入遠端電腦的裝置ID,然後點擊“連線”。

enter-device-id-and-connect

步驟2、選擇“向夥伴發送請求”,再點擊確定按鈕。

send-request-to-partner

步驟3、在遠端電腦上,點擊“同意”以建立連線。

allow-anyviewer-to-connect-remotely

 

連線方法2、輸入安全代碼

步驟1、在本機電腦上,前往“設定” > “無人值守”。開啟“設定我的安全碼”,並設定一個數字和字符混合的安全碼。

setting-security-code

步驟2、在本機電腦上,輸入遠端電腦的裝置ID,然後點擊“連線”。選擇“輸入安全代碼”,並輸入上個步驟中設定的安全碼,點擊確定就可以進行遠端存取。

connect-remotely-using-a-security-code

 

結論

RDP安全層是什麼?RDP有三種不同的安全層:協商、RDP和SSL。其中,協商是預設使用的最安全的方法。此外,您還可以使用安全的第三方遠端桌面軟體AnyViewer。它使用的ECC加密算法可以保護整個遠端工作階段。